专利名称:使用与帐号绑定的手机号码进行身份确认的新方法
技术领域:
本发明涉及计算机与网络信息安全领域,涉及与网络相关的各种身份认证系统及方法,是一种有效防止用户帐号被盗取的方法。
背景技术:
现行用户身份确认方法基本上是帐号加密码的形式,但是被盗取后就会产生巨大的损失。当前互联网立法的不完善性及系统本身的漏洞,用户的防范意识差都造成了网络中帐号被盗取事件屡屡发生。但目前的账号防盗取方法都是在网络上进行,就像是在黑客的眼皮底下改密码一样,都是权宜之计,是治标不治本的方法。怎样去寻找一种能标本兼治的方法呢?发明内容本方法是将用户帐号、用户使用的手机号码以及用户面对的客户端电脑统一,进行确认用户身份的方法。本方法有以下优点摒弃了使用帐号和密码来进行身份确认的办法,密码可以用来辅助身份确认,但不作为必要的认证步骤,防止了不法分子通过木马等手段窃取用户帐号的事件的发生;通过使用户手机号码发送或接收的确认字符串与客户端电脑的一一对应关系来唯一确定用户正在使用的客户端电脑,防止了多台客户端电脑同时登陆一个帐号而无法确定哪一台是合法用户的事件的发生;因为短信有发送和接收时间短的特点,通过短信的方式进行身份认证,可以有效的防止在一定时间段内大量用户同时登录而造成冲突的事件的发生;本方法将网络认证与手机通讯相结合,利用了手机号码的唯一确定性来保证用户帐号的安全。
本方法有以下两种实施方案一.用户进入登录界面填写帐号并对认证服务器端发送登录请求,认证服务器在用户进入登录界面时向客户端电脑发送确认字符串或收到登录请求后向客户端电脑发送确认字符串,并在收到登录请求后对帐号分配时间片;用户在规定时间内将确认字符串通过短信方式由与帐号绑定的手机号码发送到与认证服务器相连接的电信终端,服务器端通过对发送的确认字符串、用户手机号码进行验证,确定帐号的合法性后,允许确认字符串所对应的那台客户端电脑登录帐号,发送的确认字符串错误或超出规定时间未发送确认字符串则返回登录界面。
二.用户进入登录界面,填写帐号以及密码,对认证服务器发送登录请求,认证服务器收到请求后,验证帐号以及密码是否相符,帐号密码不相符则返回登录界面;通过验证则服务器端向与帐号绑定的手机号码发送确认字符串,并且允许用户进入确认字符串验证界面,用户在规定时间内将手机收到的确认字符串输入验证界面并向认证服务器发送认证请求,验证通过则允许登录,否则为非法请求,超出规定验证次数及规定时间未通过验证则返回登录界面。可以根据需要要求用户在登录界面是否填写密码。此方案限定认证次数,账号和密码多次填写不相符及确认字符串多次填写错误则锁定帐号。用户必须通过手机解锁才能再次登陆。
通过用户帐号、绑定手机号码以及确认字符串将用户和用户所使用的客户端电脑一一对应起来,真正保证了用户帐号的安全。
组成部分电信网,互联网,短信平台,与短信平台相连的帐号认证服务器,网络应用服务器,客户端电脑,用户使用的手机(或其他通讯设备)。
权利要求
1.使用与帐号绑定的手机号码进行身份确认的新方法,步骤如下用户申请帐号,设置密码后,将帐号与手机号码进行绑定,密码可以只在用户信息的修改操作中使用,在平时进行的登录中可以不使用。用户进入登录界面时由服务器端给出确认字符串,用户填写帐号,密码,对认证服务器端发送登录请求,认证服务器收到判断帐号是否合法的请求并对帐号分配时间片;用户在规定的有限时间内将确认字符串通过短信方式由与帐号绑定的手机号码或其他通讯设施号码发送到与认证服务器相连接的电信终端,通过对发送的确认字符串、用户手机号码进行验证,确定帐号的合法性后,允许确认字符串对应的客户端电脑登录帐号,否则为非法请求,超出规定时间未通过验证则返回登录界面。
2.根据权利要求1所述的使用与帐号绑定的手机号码进行身份确认的新方法,其特征在于,用户进入登录界面,填写帐号以及密码,对认证服务器发送登录请求,认证服务器收到请求后,验证帐号以及密码是否相符,未通过验证则用户返回登录界面;通过验证则验证服务器向与帐号绑定的手机号码发送确认字符串,并且允许用户进入确认字符串验证界面,用户在规定的有限时间内将手机收到的确认字符串输入验证界面并向认证服务器发送认证请求,验证通过则允许登录,否则为非法请求,超出规定验证次数及规定时间未通过验证则返回登录界面。
3.根据权利要求1和2所述的使用与帐号绑定的手机号码进行身份确认的新方法,其特征在于,确认字符串是由以汉字、字母或者数字组成的一段字符,根据不同情况需要长度在1到255个字符之间,认证服务器给出的确认字符串是随机的,但必须是唯一的,即同一时间段内不能给两个或两个以上用户相同的确认字符串,自动提款机可以使用产品序号等唯一的号码作为确认字符串。字符串可以以字符格式给出,也可以用图片格式给出。
4.根据权利要求1和2所述的使用与帐号绑定的手机号码进行身份确认的新方法,其特征在于,用户帐号可以绑定的身份证号码和手机号码作为修改用户资料及重新绑定手机号码的必要依据。一个帐号只能绑定一个身份证号码,一个身份证号码可以对应被多个帐号绑定;一个帐号只能绑定一个手机号码,一个手机号码可以对应被多个帐号绑定。
5.根据权利要求4所述的使用与帐号绑定的手机号码进行身份确认的新方法,其特征在于,一个帐号只能绑定一个手机号码作为主要的手机号码,作为修改资料及重新绑定手机号码的依据,一个帐号可以绑定多个手机号码作为非主要的手机号码,只用来作为登录认证的依据,非主要的手机号码不能进行资料修改和更改绑定手机号码的操作。一个帐号只能绑定一个身份证号码作为修改资料的依据。可以根据需要决定在登录时是否使用密码。
6.根据权利要求1所述的使用与帐号绑定的手机号码进行身份确认的新方法,其特征在于,网络认证服务器可以在用户打开登录界面的同一时间给出确认字符串,或在用户填写帐号以后进行下一步操作时才给出确认字符串。
7.根据权利要求1和2所述的使用与帐号绑定的手机号码进行身份确认的新方法,其特征在于,如果用户是使用自动提款机等需要实物卡进行登录的操作,只有在用户将银行卡插入自动提款机后,自动提款机才会给出确认字符串,确认字符串可以与密码输入提示同时给出,或者在用户输入密码并且认证服务器进行确认后给出。
8.根据权利要求1和2所述的使用与帐号绑定的手机号码进行身份确认的新方法,其特征在于,本方法不仅使用于各种网络服务(如网站管理,电子邮件,电子商务,网络游戏,聊天工具,网上银行等以及远程锁控等领域)的帐号认证,还用于与网络有关的其他业务(如银行自动提款机操作等)。
全文摘要
本发明涉及计算机与网络信息安全领域,涉及与网络相关的各种身份认证系统及方法,是一种有效防止用户帐号被盗取的方法。本方法是用用户手机进行网络身份验证,通过使用确认字符串对客户端电脑进行区分,使用户帐号与用户手机以及用户所使用的客户端电脑一一对应起来,来确定用户身份的合法性。本方法不仅使用于各种网络服务(如网站管理,电子邮件,电子商务,网络游戏,聊天工具,网上银行等以及远程锁控等领域)的帐号认证,还用于与网络有关的其他业务(如银行自动提款机操作等)。是一项非常有效的网络帐号防盗方法。
文档编号H04L29/06GK101087193SQ20071008428
公开日2007年12月12日 申请日期2007年2月27日 优先权日2007年2月27日
发明者马骏 申请人:马骏